A cura di Vincenzo Iucci, responsabile Information & Data Protection
La richiesta di riscatto è il cuore del ransomware, una delle minacce informatiche più conosciute anche dal “grande pubblico”. È il 2017 quando WannaCry conquista le aperture di quotidiani e telegiornali rendendo chiaro anche ai non addetti ai lavori l’impatto su scala mondiale che può avere un attacco informatico e, attraverso le immagini di ospedali sotto scacco, mette in guardia tutti - utenti privati, aziende, pubbliche amministrazioni, nazioni - perché nessuno può sentirsi immune.
Come riportato da ENISA, la European Union Agency for Cybersecurity, nel report “ENISA Threat Landscape for Ransomware Attacks”, nel 2021 il ransomware è risultato tra le principali minacce informatiche nell’Unione Europea; con modalità sempre più sofisticate, entro il 2025 potrebbe arrivare a provocare danni per più di 10 trilioni di dollari.
Cosa sono i ransomware? Le principali tipologie
Il ransomware si configura come un malware che rende inaccessibili i dati di un utente e comporta la promessa del ripristino della possibilità di accesso solo a fronte del pagamento di un riscatto. Trattandosi di controparti criminali, il risultato non è certo e pagare un riscatto può comportare per la vittima da un inutile esborso di denaro fino a potenziali risvolti di natura penale.
Ci sono due tipologie di ransomware:
- il crypto ransomware che prevede il ricorso da parte dell’attaccante alla crittografia per criptare dati o file fino al pagamento del riscatto, in seguito al quale l’attaccante dichiara l’intenzione di fornire alla vittima la chiave necessaria per decrittare i propri documenti;
- il locker ransomware che blocca l’accesso al dispositivo fino al pagamento del riscatto, senza ricorrere alla crittografia.
Il primo ransomware risale a una trentina di anni prima di WannaCry, precisamente al 1989 con l’attacco AIDS, acronimo per Aids Info Disk o conosciuto anche come PC Cyborg Trojan, quando Internet era per pochi studiosi e specialisti. Nella storia del ransomware è evidente un’evoluzione che, a partire dal primo attacco effettuato con modalità semplificate e in un contesto molto diverso dall’attuale, ha saputo arrivare ai giorni nostri cogliendo le opportunità date dalla capillare diffusione delle tecnologie e dalle relative caratteristiche.
Come spesso accade, la tecnologia abilita l’evoluzione di reati che hanno radici più antiche.
Per mettere a segno un rapimento, era necessaria un’organizzazione capillare sul territorio che consentisse di prelevare la vittima, trasportarla nel covo e di comunicare con la famiglia per richiedere e ottenere il riscatto.
Attraverso un attacco ransomware risulta possibile convertire tutte queste operazioni altamente rischiose per chi le commetteva in qualche sequenza di clic del mouse. Per i cybercriminali è possibile entrare in possesso di valore virtuale tramite bitcoin o rappresentazioni di valore similari, il tutto in totale anonimato e senza alcun rischio di essere identificati dalle forze dell'ordine. Non servono armi fisiche, ma armi virtuali, o cyber weapon. Queste armi virtuali non si comprano di persona, sempre con il rischio di poter essere identificati e incriminati, ma su portali accessibili nel Dark Web. La platea dei possibili attori è molteplice e le vittime sono quasi infinite; l’ubiquità della rete e la possibilità che la vittima e l'autore possano trovarsi ai diversi estremi del mondo rendono attualmente pressoché impossibile alla giurisdizione della vittima identificare e perseguire il colpevole. Questi fattori sono quindi molto appetibili per chi decide di volersi avvantaggiare economicamente mediante atti illeciti.
Nel caso dei sequestri di persona, dopo qualche tempo di impunità, le forze dell'ordine hanno trovato il modo di identificare i colpevoli e, nel corso del tempo, si è adottata una misura reattiva molto efficace come il congelamento dei beni della famiglia. Analogamente, le forze dell'ordine si stanno attrezzando per condividere informazioni che possano portare all’identificazione degli autori degli attacchi ransomware. Tuttavia, questo processo si muove con una velocità insolita per il mondo cyber, ovvero è un procedimento lentissimo, comparato al tempo con il quale le infrastrutture si evolvono, con i relativi attacchi.
In caso si sia vittima di un attacco ransomware, il primo passo da compiere rimane senz'altro quello di non farsi prendere dal panico e cadere nella trappola. Pagare il riscatto non assicura infatti di rientrare in possesso dei propri dati, ma anzi espone ad ulteriori possibilità di estorsione. È fondamentale reagire prontamente contattando le autorità preposte (es. Polizia di Stato) ed evitare qualsiasi forma di interazione con l'attaccante.
Altro alleato prezioso da non sottovalutare è senza dubbio la prevenzione, che si sostanzia anche in piccoli accorgimenti da adottare nella vita di tutti i giorni, come ad esempio:
- evitare di scaricare/aprire allegati di mail di dubbia provenienza;
- bloccare la riproduzione automatica di chiavette USB, CD/DVD e di altri supporti esterni, ed evitare di collegare questi oggetti al proprio computer se non si è certi della loro provenienza;
- essere costanti negli aggiornamenti software (es. sistema operativo, browser, antivirus ecc);
- eseguire frequentemente il backup dei propri dati.
Cosa possono fare le aziende per difendersi?
L'arma di difesa più efficace rimane quindi l'autodifesa, che per le organizzazioni consiste nel rimuovere le condizioni abilitanti che consentono all'attacco ransomware di dispiegarsi.
La domanda da porsi è quindi: “cosa serve agli attaccanti per lanciare l'attacco e che l'impresa può rimuovere?”
Tra queste condizioni possiamo citare in primis le seguenti:
- riduzione dei permessi del domain administrator di Active Directory: ciò garantisce una minore esposizione agli attacchi riducendo i permessi che l'attaccante può sfruttare per entrare in possesso dei dati.
- Eliminazione degli account amministrativi non utilizzati: la violazione di un account con privilegi ed accessi di amministratore permette all’attaccante di utilizzare gli stessi privilegi per compiere azioni che potrebbero portare a maggiori danni, essendo infatti libero di muoversi nella rete facilmente e senza limitazioni.
- Verifica sulla corretta attivazione delle soluzioni contro il software malevolo di nuova generazione (noti anche come EDR): la verifica dei processi che avvengono all'interno del dispositivo tramite tali soluzioni garantisce una visione più completa di quanto accade all'interno del dispositivo rispetto a una semplice scansione
- Integrazione con uno o più indicatori di compromissione (IOC) e filtraggio del traffico verso IOC noti: l'utilizzo di IoC consente di filtrare le potenziali minacce (es. URL, indirizzi IP, DNS ecc) identificando tempestivamente le violazioni dei dati per mitigare i possibili attacchi
Queste sono solo alcune tra le varie misure che le organizzazioni devono sapere applicare costantemente nel corso del tempo. Navigare nel web non assomiglierà mai a una crociera, quanto più a una traversata oceanica nel mirino di spietati predoni, ma adottando le giuste misure si può imparare a difendersi.